Trojaner-Board - Malware defense. Rootkit scanner Ergebnisse

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Malware defense. Rootkit scanner Ergebnisse (https://www.trojaner-board.de/80780-malware-defense-rootkit-scanner-ergebnisse.html)

Vielen Dnak für die Hilfe. Hier mein Malwarebytes-Log:

Code:

Malwarebytes' Anti-Malware 1.43

Datenbank Version: 3492

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

04.01.2010 20:01:50

mbam-log-2010-01-04 (20-01-50).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 303284

Laufzeit: 1 hour(s), 59 minute(s), 3 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 2

Infizierte Dateien: 16
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\malware defense (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\richtx64.exe (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Pc\Lokale Einstellungen\Temp\Installer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Programme\Malware Defense\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\Programme\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086871.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086872.sys (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086873.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086874.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0086876.exe (Trojan.Banker) -> Quarantined and deleted successfully.

C:\Programme\malware Defense\help.ico (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Programme\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Pc\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Pc\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Hallo,

da hat ja Malwarebytes allerhand an Schädlingen entfernt ;)

Next Step: Lasse Superantispyware laufen und entferne die Funde und poste auch dessen Ergebnis hier her.
Desweiteren eine Zwischenfrage. Wie geht es deinem PC jetzt nach SASW?

Danke für die Hilfe.

PC läuft wie vorher nach Spyware-Durchlauf.

Hier mein Spyware-Log.

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 01/07/2010 at 03:21 PM
 

Application Version : 4.33.1000
 

Core Rules Database Version : 4455

Trace Rules Database Version: 2277
 

Scan type       : Complete Scan

Total Scan Time : 02:37:39
 

Memory items scanned      : 822

Memory threats detected   : 0

Registry items scanned    : 6959

Registry threats detected : 0

File items scanned        : 192008

File threats detected     : 48
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adserv.baunetz[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@ad.zanox[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@im.banner.t-online[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@statse.webtrendslive[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@www.googleadservices[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@www.etracker[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@guj.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@doubleclick[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@atdmt[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@webmasterplan[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tracking.quisma[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tracking.mindshare[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@stats.rolandberger[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@stats.bmw[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@track.adform[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@ad.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@euros4click[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@track.webtrekk[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@de.sitestat[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@statcounter[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@bs.serving-sys[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@mediaplex[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@zanox[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@vodafonegroup.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@www.zanox-affiliate[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@content.yieldmanager[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@test.coremetrics[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adtech[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@adsrv.admediate[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@unitymedia[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@hasenet.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@112.2o7[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@eas.apm.emediate[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@track.webtrekk[2].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@shinystat[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@de.sitestat[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@mckinseyknowledge.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@traffictrack[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tracking.mlsat02[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@serving-sys[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@rotator.adjuggler[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@tradedoubler[1].txt

        C:\Dokumente und Einstellungen\Pc\Cookies\pc@apmebf[2].txt
 

Rogue.SmartProtector

        C:\WINDOWS\system32\srcr.dat
 

Trojan.Agent/Gen-Nullo[Short]

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0087993.DLL

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{4BF1B43C-BC85-406D-9CA4-C245FF6982E9}\RP348\A0087994.EXE

ESET Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Button "ESET Online Scanner" drücken.
- Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
- Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User müssen das Installieren eines ActiveX Elements erlauben.
- Einen Haken bei "Remove found threads" und "Scan archives" machen.
- Start drücken.
- Der Scan beginnt automatisch.
- Finish drücken.
- Browser schließen.
- Explorer öffnen.
- C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
- Logfile hier posten.
- Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
- Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
- IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
- O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Hier mein Logfile aus ESET. Nix gefunden. Juhu!

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=f51eafffd9d9a24982ce8ff27f0ba28d

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-01-07 07:46:53

# local_time=2010-01-07 08:46:53 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=1797 16775145 100 94 166059 62376210 194395 0

# compatibility_mode=8192 67108863 100 0 3816 3816 0 0

# scanned=178421

# found=0

# cleaned=0

# scan_time=9264

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=f51eafffd9d9a24982ce8ff27f0ba28d

# end=stopped

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-01-07 08:05:42

# local_time=2010-01-07 09:05:42 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=1797 16775145 100 94 176334 62386485 204670 0

# compatibility_mode=8192 67108863 100 0 14091 14091 0 0

# scanned=4312

# found=0

# cleaned=0

# scan_time=120

Neues RSIT Logfile bitte (nur Log.TXT) und hier herein stellen.

Hi,

die Systemwiederherstellung noch bereinigen...

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

Danke für die Hilfe.

Hier nun Log.txt

Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by Pc at 2010-01-14 22:44:44

Microsoft Windows XP Professional Service Pack 3

System drive C: has 109 GB (71%) free of 153 GB

Total RAM: 1919 MB (55% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:44:53, on 14.01.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Hewlett-Packard\IAM\bin\asghost.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\Programme\PDF Complete\pdfsvc.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

C:\Programme\PDF Complete\pdfsty.exe

C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe

C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Programme\WinZip\WZQKPICK.EXE

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\wuauclt.exe

Hi,

das Log ist nicht vollständig, noch mal posten...

chris